Zabezpečený přístup k podnikovým zdrojům odkudkoli, z libovolného zařízení

  • Článek

Publikováno: leden 2014

Platí pro: Windows Server 2012 R2

Jak vám tento průvodce může pomoct?

Pro koho je tento průvodce určený?

Tento průvodce je určený pro podniky s tradičním oddělením informačních technologií. Tyto firmy obvykle mají architekty infrastruktury, specialisty na podnikové zabezpečení i na správu zařízení a chtějí zjistit, jaká řešení se nabízí v oblasti uživatelsky dostupných IT technologií a modelu BYOD (Přineste si vlastní zařízení). Koncová řešení popsaná v tomto průvodci jsou součástí vize Microsoftu pro oblast podnikové mobility.

Vzhledem k aktuálnímu trendu prudkého nárůstu používaných zařízení – ať podnikových, či osobních – a rozšiřujícím se řadám uživatelů, kterým slouží jejich vlastní zařízení pro přístup k firemním prostředkům na pracovišti nebo v cloudu, narůstá tlak na IT týmy, aby pomohly zvýšit produktivitu a spokojenost uživatelů a zohlednily při tom možnosti práce s různými zařízeními a jejich identitu i pohodlí zaměstnanců při získávání přístupu k podnikovým prostředkům a aplikacím. Zároveň to pro IT oddělení přináší spoustu problémů se správou a zabezpečením, protože musí zařídit, aby byla podniková infrastruktura a data chráněná před zlými úmysly. Společnosti musí taky zajistit, aby přístup k prostředkům probíhal v souladu s podnikovými zásadami, bez ohledu na to, jaké zařízení se k tomu použije a kde se toto zařízení nachází.

Vaši aktuální infrastrukturu je možné rozšířit pomocí implementace a konfigurace různých technologií, od operačního systému Windows Server 2012 R2 po vytvoření komplexního řešení, které si s těmito výzvami poradí.

Následující diagram znázorňuje problém, který tento průvodce řeší. Zobrazuje uživatele, kteří používají vlastní osobní a podniková zařízení pro přístup k aplikacím a datům umístěným jak v cloudu, tak místně. Tyto aplikace a prostředky se můžou nacházet uvnitř nebo mimo bránu firewall.

Prudký nárůst počtu zařízení a aplikací a přístup k nim

Co najdete v tomto průvodci:

  • Scénář, formulace problému a cíle

  • Doporučený návrh tohoto řešení

  • Jaký je postup implementace tohoto řešení?

Scénář, formulace problému a cíle

Tato část popisuje scénář, formulaci problémů a cíle pro ukázkovou organizaci.

Scénář

Vaše organizace je bankovní společnost střední velikosti. Zaměstnává víc než 5000 lidí, kteří si do práce nosí svá osobní zařízení (založená na operačním systému Windows RT nebo iOS). V současné době nemají možnost přistupovat z těchto zařízení k podnikovým prostředkům.

Vaše aktuální infrastruktura zahrnuje doménovou strukturu Active Directory, která má řadič domény s nainstalovaným Windows Serverem 2012. Její součástí je i server pro vzdálený přístup a nástroj System Center Configuration Manager řízený přes uživatelské rozhraní pro správu System Centera.

Formulace problému

Podle zprávy, kterou vašemu vedení nedávno předložil tým z oddělení IT, roste počet uživatelů, kteří si do práce nosí vlastní zařízení a potřebují přístup k firemním datům. Nejvyšší vedení rozumí tomuto trendu na trhu, kdy si čím dál víc uživatelů bere do zaměstnání vlastní zařízení, a chce zajistit, aby společnost implementovala zabezpečené řešení, které vyhoví tomuto požadavku. Shrnuto a podtrženo, váš IT tým musí:

  • Umožnit zaměstnancům používat pro přístup k podnikovým aplikacím a datům osobní i firemní zařízení. Mezi ně patří počítače a mobilní zařízení.

  • Poskytnout zabezpečený přístup k prostředkům, který bude odpovídat potřebám jednotlivých uživatelů a bude v souladu s firemními zásadami pro tato zařízení. Možnosti práce a prostředí v různých zařízeních musí být plynulé a harmonické.

  • Zařízení identifikovat a spravovat.

Cíle organizace

Tento průvodce navrhuje řešení pro rozšíření vaší podnikové infrastruktury, jehož cíle jsou následující:

  • Zjednodušená registrace osobních a firemních zařízení

  • V případě potřeby bezproblémové připojení k interním prostředkům

  • Jednotný přístup k firemním prostředkům napříč různými zařízeními

Doporučený návrh tohoto řešení

Aby vaše organizace vyřešila svůj problém a splnila všechny výše uvedené cíle, musí implementovat několik dílčích scénářů. Všechny tyto dílčí scénáře souhrnně zobrazuje následující obrázek.

Přehled, který zobrazuje všechny komponenty řešení

  1. Možnost registrovat zařízení uživatelů a používat jednotné přihlášení

  2. Nastavení bezproblémového přístupu k firemním prostředkům

  3. Lepší řízení rizik souvisejících s přístupem

  4. Jednotná správa zařízení

Možnost registrovat zařízení uživatelů a používat jednotné přihlášení

Tato část řešení zahrnuje následující důležité fáze.

  • Správci IT můžou nastavit registraci zařízení, která umožní přidružení zařízení k firemní službě Active Directory a využije toto přidružení jako plynulé dvojúrovňové ověřování. Připojení k síti na pracovišti je nová funkce služby Active Directory, díky které můžou uživatelé bezpečně registrovat vlastní zařízení do podnikového adresáře. Tato registrace poskytne zařízení certifikát, který se může používat pro ověření zařízení, když přes něj chce uživatel získat přístup k podnikovým prostředkům. Díky tomuto přidružení můžou IT profesionálové konfigurovat vlastní zásady přístupu vyžadující, aby přístup k firemním zdrojům měli jen ověření uživatelé pracující na zařízeních, která využívají funkci připojení k síti na pracovišti.

  • Správci IT můžou nastavit jednotné přihlašování (SSO) ze zařízení přidružených k Active Directory dané společnosti. Když chtějí koncoví uživatelé získat přístup k určité aplikaci poskytované jejich organizací, jednotné přihlašování (SSO) jim umožňuje přihlásit se jen jednou, takže když pak chtějí pracovat s jinou aplikací, nezobrazí se další výzva pro zadání přihlašovacích údajů. Ve Windows Serveru 2012 R2 je možné jednotné přihlašování používat i na zařízeních, která využívají funkci připojení k síti na pracovišti. Tím se zvyšuje pohodlí uživatelů a snižuje riziko toho, že všechny aplikace budou ukládat přihlašovací údaje uživatelů. Další výhodou je omezení příležitostí k získání hesel z osobních nebo podnikových zařízení.

Následující diagram představuje podrobný snímek obrazovky zařízení s funkcí připojení k síti na pracovišti.

Připojení pracovní plochy s místní registrací zařízení

Všechny tyto možnosti podrobně popisuje následující tabulka.

Prvek návrhu řešení Proč je součástí řešení?

Připojení k síti na pracovišti

Připojení k síti na pracovišti umožňuje uživatelům bezpečně zaregistrovat zařízení do adresáře vaší společnosti. Tato registrace poskytne zařízení certifikát, který se může používat pro ověření zařízení, když přes něj chce uživatel získat přístup k podnikovým prostředkům. Další informace najdete v tématu Funkce připojení k síti na pracovišti v libovolném zařízení pro jednotné přihlašování a bezproblémové dvoufaktorové ověřování napříč podnikovými aplikacemi.

Role serveru a technologie, které je pro tuto funkci nutné nakonfigurovat, najdete v následující tabulce.

Prvek návrhu řešení Proč je součástí řešení?

Aktualizace schématu na řadiči domény s Windows Serverem 2012 R2

Instance Active Directory Domain Services (AD DS) poskytuje adresář identit pro ověření uživatelů i zařízení a pro vynucení zásad přístupu a centralizovaných zásad konfigurace. Další informace o nastavení infrastruktury adresářových služeb najdete v článku Aktualizace řadičů domény pro systém Windows Server 2012 R2 a Windows Server 2012.

Služba AD FS se službou Device Registration Service

Služba Active Directory Federation Services (AD FS) umožňuje správcům nakonfigurovat službu Device Registration Service (DRS) a implementuje protokol funkce připojení k síti na pracovišti, aby se zařízení mohlo jejím prostřednictvím přiřadit do Active Directory. Služba AD FS byla navíc vylepšená o ověřovací protokol OAuth a zásady pro ověřování zařízení a pro řízení podmíněného přístupu, které zahrnují kritéria uživatele, zařízení a umístění. Další informace o plánování návrhu infrastruktury služby AD FS najdete v článku Průvodce návrhem služby AD FS v systému Windows Server 2012 R2.

Aspekty návrhu nastavení řadiče domény

Pro toto řešení nepotřebujete řadič domény s Windows Serverem 2012 R2. Stačí vám aktualizace schématu z aktuální instalace AD DS. Další informace o rozšíření schématu najdete v tématu Instalace služby AD DS (Active Directory Domain Services). Schéma na stávajících řadičích domén můžete aktualizovat, aniž byste museli instalovat řadič domény s Windows Serverem 2012. Pomůže vám s tím Nástroj Adprep.exe.

Podrobný seznam nových funkcí, požadavků na systém a předpokladů, které je nutné splnit před začátkem instalace, najdete v tématu Předpoklady pro instalaci služby AD DS a Požadavky na systém.

Aspekty návrhu služby AD FS

Pokud chcete plánovat prostředí služby AD FS, přečtěte si téma Určení cílů nasazení služby AD FS.

Nastavení bezproblémového přístupu k firemním prostředkům

Dnešní zaměstnanci jsou mobilní a očekávají, že budou mít odkudkoli přístup k aplikacím, které potřebují ke své práci. Společnosti přijímají několik strategií, které to umožňují: VPN, DirectAccess a Brány vzdálené plochy.

Ale v situaci, kdy si lidé nosí svá vlastní zařízení, tato řešení nenabízí dostatečnou úroveň zabezpečení, kterou řada zákazníků potřebuje. Aby bylo naplnění tohoto požadavku snazší, součástí role Služba Směrování a vzdálený přístup (RRAS) ve Windows Serveru je služba role Proxy webových aplikací. Tato služba role vám umožňuje selektivně publikovat obchodní webové aplikace, aby k nim měli přístup uživatelé mimo podnikovou síť.

Pracovní složky představují nové řešení synchronizace souborů, které umožňuje uživatelům synchronizovat soubory z podnikového souborového serveru na vlastní zařízení. Protokol této synchronizace je založený na HTTPS. Díky tomu je publikování přes službu Proxy webových aplikací jednoduché. Znamená to, že uživatelé teď můžou synchronizovat soubory z intranetu i Internetu. Taky to znamená, že výše popsané ovládací prvky pro ověřování a řízení přístupu založené na službě AD FS můžete použít i k synchronizaci podnikových souborů. Soubory se potom na zařízení uloží do šifrovaného umístění. Když se pak zařízení vyřadí ze spravovaných systémů, vybrané soubory můžete odstranit.

Technologie DirectAccess a síť VPN služby Směrování a vzdálený přístup (RRAS) jsou ve Windows Serveru 2012 R2 zkombinované do jedné role vzdáleného přístupu. Tato nová role serveru vzdáleného přístupu umožňuje centralizovanou správu, konfiguraci a monitorování funkce DirectAccess i služeb vzdáleného přístupu založených na VPN.

Windows Server 2012 R2 přináší infrastrukturu virtuálních počítačů (VDI), díky které vaši odborníci na IT můžou nasadit jak osobní počítače a fondy virtuálních počítačů, tak klienty založené na relacích. V závislosti na konkrétních požadavcích nabízí i několik možností v oblasti úložiště.

Následující diagram znázorňuje technologie, které můžete implementovat, abyste zajistili jednoduchý přístup k podnikovým prostředkům.

Řešení přístupu k informacím a jejich ochrany

Plánování přístupu k podnikovým prostředkům

Prvek návrhu řešení Proč je součástí řešení?

Proxy webových aplikací

Umožňuje publikovat podnikové prostředky, včetně vícefaktorového ověřování a vynucování zásad podmíněného přístupu, když se k nim uživatelé připojují. Další informace najdete v tématu Průvodce nasazením služby Proxy webových aplikací.

Pracovní složky (souborový server)

Centralizované umístění na souborovém serveru v podnikovém prostředí, které je nakonfigurované tak, aby umožňovalo synchronizovat soubory s uživatelskými zařízeními. Pracovní složky je možné publikovat přímo prostřednictvím reverzního proxy serveru nebo pomocí služby Proxy webových aplikací, pokud chcete vynucovat zásady podmíněného přístupu. Další informace najdete v tématu Základní informace o Pracovních složkách.

Vzdálený přístup

Tato nová role serveru Vzdálený přístup umožňuje centralizovanou správu, konfiguraci a monitorování funkce DirectAccess i služeb vzdáleného přístupu založených na VPN. Funkce DirectAccess ve Windows Serveru 2012 navíc poskytuje řadu aktualizací a vylepšení, které řeší blokování adres a zjednodušují správu. Další informace najdete v tématu 802.1X – přehled ověřeného bezdrátového přístupu.

Infrastruktura virtuálních klientských počítačů

Infrastruktura virtuálních klientských počítačů umožňuje vaší organizaci poskytovat zaměstnancům firemní pracovní plochu a aplikace, ke kterým můžou získat přístup ze svých osobních a podnikových zařízení, z interních i externích umístění, a to díky infrastruktuře spuštěné v podnikovém datovém centru (službám rolí Zprostředkovatel připojení ke vzdálené ploše, Hostitelský server relací vzdálené plochy a Webový přístup ke vzdálené ploše). Další informace najdete v tématu Infrastruktura virtuálních klientských počítačů.

Aspekty návrhu při nasazení služby Proxy webových aplikací

Tato část představuje úvod do plánování kroků potřebných pro nasazení služby Proxy webových aplikací a publikaci aplikací jejím prostřednictvím. Tento scénář popisuje dostupné metody předběžného ověření, včetně používání služby AD FS pro ověření a autorizaci, které vám umožní využívat výhody nabízené službou AD FS, včetně připojení k síti na pracovišti, vícefaktorového ověřování a vícefaktorového řízení přístupu. Podrobné vysvětlení těchto kroků najdete v tématu Plánování publikování aplikací pomocí služby Proxy webových aplikací.

Aspekty návrhu pro nasazení Pracovních složek

Tato část popisuje proces návrhu implementace Pracovních složek a přináší informace o softwarových požadavcích, scénářích nasazení, kontrolních seznamech a dalších aspektech, které byste při návrhu měli zvážit. Pokud chcete vytvořit základní kontrolní seznam, postupujte podle kroků uvedených v tématu Návrh implementace Pracovních složek.

Aspekty návrhu pro nasazení infrastruktury vzdáleného přístupu

Tato část popisuje obecná kritéria, která byste měli vzít do úvahy při plánování nasazení jednoho serveru pro vzdálený přístup se systémem Windows Server 2012 a základními funkcemi:

  1. Plánování infrastruktury technologie DirectAccess: Naplánujte síťovou a serverovou topologii, nastavení brány firewall, požadavky na certifikáty, služby DNS a Active Directory.

  2. Plánování nasazení technologie DirectAccess: Naplánujte nasazení klientů a serverů.

Lepší řízení rizik souvisejících s přístupem

Díky Windows Serveru 2012 R2 může vaše organizace nastavit řízení přístupu k podnikovým zdrojům, které bude založené na identitě uživatele, identitě zaregistrovaného zařízení a síťovém umístění uživatele (tzn. jestli se uživatel nachází v podnikové síti nebo ne). Součástí služby Proxy webových aplikací je vícefaktorové ověřování, takže oddělení IT může při připojování uživatelů a zařízení do podnikového prostředí využít další úrovně ověřování.

Abyste mohli jednoduše snížit rizika spojená s ohroženými uživatelskými účty, nabízí Windows Server 2012 R3 prostřednictvím Active Directory výrazně jednodušší implementaci vícefaktorového ověřování. Modul plug-in vám umožní nakonfigurovat různá řešení pro řízení rizik přímo do AD FS.

Služba AD FS ve Windows Serveru 2012 R2 nabízí několik vylepšení řízení rizik souvisejících s přístupem, například tyto:

  • Flexibilní ovládací prvky založené na síťovém umístění, které řídí způsob ověřování uživatelů, kteří chtějí získat přístup k aplikaci chráněné službou AD FS

  • Flexibilní zásady určující, jestli uživatel musí projít vícefaktorovým ověřováním, a to v závislosti na datech uživatelů a zařízení a na síťovém umístění

  • Kontrolní mechanismy jednotlivých aplikací, které ignorují jednotné přihlašování (SSO) a nutí uživatele zadat přihlašovací údaje pokaždé, když chtějí získat přístup k citlivé aplikaci

  • Flexibilní zásady přístupu k  jednotlivým aplikacím v závislosti na datech uživatele a zařízení a na síťovém umístění. Funkce uzamčení extranetu služby AD FS umožňuje správcům chránit účty Active Directory před útoky hrubou silou vedenými z Internetu.

  • Odvolání přístupu pro libovolné zařízení, které využívalo funkci připojení k síti na pracovišti a teď ho služba Active Directory deaktivovala nebo odstranila

Následující diagram znázorňuje vylepšení Active Directory, která díky řízení přístupu pomáhají snižovat rizika.

Možnosti služby AD v systému Windows Server 2012 R2

Aspekty návrhu pro snižování rizik a implementaci řízení přístupu pro uživatele, zařízení a aplikace

Prvek návrhu řešení Proč je součástí řešení?

Připojení k síti na pracovišti (funkce povolená službou DRS [Device Registration Service])

Vaše organizace může implementovat řízení IT s ověřováním zařízení a díky jednotnému přihlašování taky dvouúrovňové ověřování. Zařízení využívající funkci připojení k síti na pracovišti přináší správcům IT vyšší úroveň kontroly nad osobními a podnikovými zařízeními. Další informace o službě DRS najdete v tématu Funkce připojení k síti na pracovišti v libovolném zařízení pro jednotné přihlašování a bezproblémové dvouúrovňové ověřování napříč podnikovými aplikacemi.

Vícefaktorové ověřování

Pomocí Azure Multi-Factor Authentication může oddělení IT používat další úrovně ověřování uživatelů i zařízení. Další informace najdete v tématu Co je Azure Multi-Factor Authentication?

Jednotná správa zařízení

Kromě zajištění zabezpečení a přístupu musí oddělení IT vytvořit i dobrou strategii pro správu počítačů a osobních zařízení z jedné konzoly pro správu. Správa zařízení zahrnuje konfiguraci nastavení zabezpečení a dodržování předpisů, shromáždění inventáře hardwaru a softwaru a nasazení softwaru. Oddělení IT musí mít připravené i řešení, které ochrání společnost a smaže podniková data uložená na mobilních zařízeních, pokud dojde ke ztrátě, krádeži nebo vyřazení těchto zařízení.

Toto řešení, Správa mobilních zařízení a počítačů jejich migrací do nástroje Configuration Manager s Windows Intune, podrobně vysvětluje jednotnou správu zařízení.

Aspekty návrhu pro jednotnou správu zařízení

Je nezbytně nutné, abyste předem vyřešili klíčové otázky týkající se návrhu infrastruktury BYOD (Přineste si vlastní zařízení) a jednotné správy zařízení, která umožňuje uživatelům používat v práci vlastní zařízení a chránit podniková data.

Návrh infrastruktury podporující model BYOD se rozebírá v tématu Aspekty týkající se uživatelů a zařízení v modelu BYOD (Přineste si vlastní zařízení). Návrh popsaný v tomto dokumentu využívá technologie Microsoftu. Uvedené možnosti a faktory je možné použít v rámci jakékoliv infrastruktury, kde se má používat model BYOD (Přineste si vlastní zařízení).

Užitečný kontrolní seznam kroků potřebných pro podporu správy mobilních zařízení najdete v tématu Kontrolní seznam pro správu mobilních zařízení.

Jaký je postup implementace tohoto řešení?

Nastavení základní infrastruktury, která umožní registraci zařízení.

Následující kroky vás postupně provedou celým procesem nastavení řadiče domény (AD DS), AD FS a DRS (Device Registration Service).

  1. Nastavení řadiče domény

    Nainstalujte službu role AD DS a povyšte svůj počítač na řadič domény ve Windows Serveru 2012 R2. Tím se v rámci instalace řadiče domény upgraduje vaše schéma AD DS. Další informace a pokyny, jak postupovat krok za krokem, najdete v tématu Instalace služby AD DS (Active Directory Domain Services)

  2. Instalace a konfigurace federačního serveru

    Službu AD FS (Active Directory Federation Services) můžete ve Windows Serveru 2012 R2 využít k vytvoření řešení správy federovaných identit, které rozšíří distribuované služby identifikace, ověření a autorizace na webové aplikace, bez ohledu na platformy nebo hranice organizace. Nasazením služby AD FS můžete rozšířit stávající funkce pro správu identit, které vaše organizace využívá, i na internet. Další informace a pokyny, jak postupovat krok za krokem, najdete v tématu Průvodce nasazením služby AD FS v systému Windows Server 2012 R2.

  3. Konfigurace služby DRS (Domain Registration Service)

    Po instalaci AD FS můžete na svém federačním serveru povolit DRS. Když chcete konfigurovat DRS, nejdřív musíte připravit doménovou strukturu Active Directory, aby podporovala zařízení, a potom můžete povolit DRS. Podrobné pokyny najdete v tématu Konfigurace federačního serveru pro službu DRS (Device Registration Service).

  4. Nastavení webového serveru a ukázkové aplikace založené na deklaracích identity na ověřování a testování konfigurace služeb AD FS a DRS

    Nejdřív musíte nastavit webový server a ukázkovou aplikaci založenou na deklaracích identity a potom dodržet určité postupy, kterými výše uvedené kroky ověříte. Postupujte v tomto pořadí:

    1. Instalace role webového serveru a technologie Windows Identity Foundation

    2. Instalace sady SDK technologie Windows Identity Foundation

    3. Konfigurace aplikací s jednoduchými požadavky v Internetové informační službě

    4. Vytvoření vztahu důvěryhodnosti předávající strany na federačním serveru

  5. Konfigurace a ověření připojení k síti na pracovišti na zařízeních s Windows a iOS

    Tato část obsahuje pokyny pro nastavení funkce připojení k síti na pracovišti na zařízeních s Windows nebo iOS a funkce jednotného přihlašování (SSO) k podnikovému zdroji.

    1. Připojení k síti na pracovišti na zařízení s Windows

    2. Připojení k síti na pracovišti na zařízení s iOS

Konfigurace přístupu k podnikovým prostředkům

Musíte nakonfigurovat službu Pracovní složky v souborové službě, virtualizaci služby Vzdálené plochy a taky Vzdálený přístup.

  1. Konfigurace služby Proxy webových aplikací

    Tato část představuje konfigurační kroky potřebné pro nasazení služby Proxy webových aplikací a publikování aplikací jejím prostřednictvím.

    1. Konfigurace služby Proxy webových aplikací: Popisuje, jak konfigurovat infrastrukturu potřebnou pro nasazení služby Proxy webových aplikací.

    2. Instalace a konfigurace serveru služby Proxy webových aplikací: Popisuje, jak konfigurovat servery služby Proxy webových aplikací včetně požadovaných certifikátů, jak nainstalovat službu role Proxy webových aplikací a jak připojit servery služby Proxy webových aplikací k doméně.

    3. Publikování aplikací pomocí předběžného ověřování služby AD FS: Popisuje, jak publikovat aplikace pomocí služby Proxy webových aplikací a předběžného ověřování služby AD FS.

    4. Publikování aplikací pomocí předávacího ověřování: Popisuje, jak publikovat aplikace pomocí předávacího předběžného ověřování.

  2. Konfigurace Pracovních složek

    Nejjednodušší nasazení Pracovních složek představuje jeden souborový server (často se mu říká server pro synchronizaci adresářů), který nepodporuje synchronizaci přes internet a může užitečně fungovat jako nasazení pro testovací laboratoř nebo jako řešení synchronizace pro klientské počítače připojené k doméně. Pokud chcete vytvořit jednoduché nasazení, musíte provést minimálně tyto kroky:

    1. Instalace Pracovních složek na souborových serverech

    2. Vytvoření skupin zabezpečení pro Pracovní složky

    3. Vytvoření synchronizačních sdílených složek pro data uživatelů

    Další podrobné instrukce týkající se nasazení pracovních složek najdete v tématu Nasazení Pracovních složek.

  3. Konfigurace a ověření virtualizace relace služby Vzdálená plocha

    Standardní nasazení infrastruktury virtuálních počítačů vám umožňuje nainstalovat na jednotlivé počítače příslušné služby rolí. Standardní nasazení zajišťuje přesnější kontrolu nad virtuálními počítači a kolekcemi virtuálních klientů, protože je nevytváří automaticky.

    Tato testovací laboratoř vás provede procesem vytvoření standardního nasazení virtualizace relace. Jednotlivé kroky jsou následující:

    • Instalace služeb rolí Zprostředkovatel připojení k VP, Hostitel relací VP a RD Web Access na jednotlivé počítače

    • Vytvoření kolekce relací

    • Publikování klienta na bázi relace pro každý hostitelský server relací VP v kolekci

    • Publikování aplikací jako programů RemoteApp

    Podrobné pokyny týkající se konfigurace a ověření nasazení infrastruktury virtuálních počítačů najdete v tématu Standardní nasazení virtualizace relace služby Vzdálená plocha.

  4. Konfigurace vzdáleného přístupu

    Windows Server 2012 spojuje DirectAccess a síť VPN služby Směrování a vzdálený přístup (RRAS) do jedné role vzdáleného přístupu. V následujícím seznamu najdete výčet konfiguračních kroků, které jsou potřebné pro nasazení jednoho serveru pro vzdálený přístup s Windows Serverem 2012 a základním nastavením.

    1. Konfigurace infrastruktury technologie DirectAccess: Tento krok zahrnuje konfiguraci sítě a nastavení serveru, DNS a služby Active Directory.

    2. Konfigurace serveru DirectAccess: Tento krok zahrnuje konfiguraci klientských počítačů DirectAccess a nastavení serveru.

    3. Ověření nasazení: Tento krok obsahuje pokyny pro ověření nasazení.

Konfigurace řízení rizik pomocí nastavení vícefaktorového řízení přístupu a vícefaktorového ověřování

Nakonfigurujte vícefaktorové řízení přístupu – nastavte pro jednotlivé aplikace flexibilní a jasné zásady autorizace, které vám umožní povolit nebo odepřít přístup na základě uživatele, zařízení, síťového umístění a stavu ověření. Vícefaktorové ověřování přináší do vašeho prostředí ještě lepší řízení rizik.

  1. Konfigurace a ověření vícefaktorového řízení přístupu

    Zahrnuje následující tři kroky:

    1. Kontrola výchozího mechanismu řízení přístupu služby AD FS

    2. Konfigurace zásad vícefaktorového řízení přístupu založených na uživatelských datech

    3. Ověření mechanismu vícefaktorového řízení přístupu

  2. Konfigurace a ověření vícefaktorového ověřování

    Zahrnuje následující tři kroky:

    1. Kontrola výchozího mechanismu ověřování služby AD FS

    2. Konfigurace vícefaktorového ověřování na federačním serveru

    3. Kontrola mechanismu vícefaktorového ověřování

Implementace jednotné správy zařízení

Pro nastavení správy zařízení ve svém podniku postupujte podle následujících kroků.

  1. Instalace konzoly System Center 2012 R2 Configuration Manager: Když nainstalujete primární lokalitu, ve výchozím nastavení se na počítači se serverem primární lokality nainstaluje i konzola Configuration Manager. Jakmile se lokalita nainstaluje, můžete nainstalovat ostatní konzoly System Center 2012 R2 Configuration Manager na další počítače pro správu lokality. Na jeden počítač můžete nainstalovat konzoly z Configuration Manageru 2007 i System Center 2012 R2 Configuration Manageru. Tato souběžná instalace vám umožňuje používat jeden počítač pro správu jak stávající infrastruktury Configuration Manageru 2007, tak mobilních zařízení spravovaných pomocí Windows Intune v System Center 2012 R2 Configuration Manageru. Konzolu pro správu, kterou poskytuje System Center 2012 R2 Configuration Manager, ale nemůžete použít pro správu lokality Configuration Manageru 2007 a naopak. Další informace najdete v tématu Instalace konzoly nástroje Configuration Manager.

  2. Registrace mobilních zařízení: Registrace vytváří vztah mezi uživatelem, zařízením a službou Windows Intune. Uživatelé registrují vlastní mobilní zařízení. Informace o registraci mobilních zařízení najdete v tématu Registrace mobilních zařízení.

  3. Správa mobilních zařízení: Jakmile nainstalujete samostatnou primární lokalitu a provedete její základní konfiguraci, můžete začít konfigurovat správu mobilních zařízení. V následujícím seznamu najdete obvyklé konfigurační kroky:

    1. Pokud chcete pro mobilní zařízení nastavit dodržování předpisů, přečtěte si téma Nastavení dodržování předpisů pro mobilní zařízení v nástroji Configuration Manager.

    2. Pokud chcete pro mobilní zařízení vytvořit aplikace a nasadit je, přečtěte si téma Jak v nástroji Configuration Manager vytvořit a nasadit aplikace pro mobilní zařízení.

    3. Pokud chcete konfigurovat inventář hardwaru, přečtěte si téma Jak konfigurovat inventář hardwaru pro mobilní zařízení zaregistrovaná v technologii Windows Intune a nástroji Configuration Manager.

    4. Pokud chcete konfigurovat inventář softwaru, přečtěte si téma Úvod k inventáři softwaru v nástroji Configuration Manager.

    5. Pokud chcete vymazat obsah z mobilních zařízení, přečtěte si téma Jak spravovat mobilní zařízení pomocí nástroje Configuration Manager a služby Windows Intune.

Viz taky

Typ obsahu Odkazy

Hodnocení produktu/Začínáme

Plánování a návrh

Komunitní zdroje

Související řešení